Source : Insurance Europe, Getting data protection right in the Digital Omnibus, mai 2026.

Sommaire : Cet article détaille la position de Insurance Europe sur le Paquet Omnibus Numérique, une initiative visant à moderniser le RGPD pour favoriser l'innovation technologique. Les assureurs saluent les clarifications juridiques concernant la définition des données personnelles, l'entraînement de l'intelligence artificielle et l'automatisation des décisions. Insurance Europe suggère toutefois des ajustements, notamment pour assouplir les règles de notification des violations de données et protéger les entreprises contre les demandes d'accès abusives. Un point crucial concerne l'accès aux données des équipements terminaux, comme les voitures connectées, afin de faciliter les services de télématique sans dépendre uniquement du consentement. Enfin, la source plaide pour un cadre plus prévisible concernant le traitement des données de santé, indispensable à la gestion des contrats et des sinistres.

1. Synthèse du contexte réglementaire

Le « Digital Omnibus Package » représente une initiative législative essentielle visant à harmoniser la transformation numérique de l'Union européenne avec les exigences de protection du RGPD. En apportant des clarifications sur des concepts clés tels que la donnée personnelle ou l'entraînement de l'intelligence artificielle, ce projet ambitionne de restaurer une sécurité juridique indispensable à l'innovation. L'objectif final est de créer un cadre stable qui favorise le développement de services technologiques avancés, générant ainsi des bénéfices tangibles et durables pour les consommateurs.

2. Clarifications structurelles et avancées opérationnelles

Le secteur de la (ré)assurance soutient les évolutions techniques proposées, lesquelles répondent à des incertitudes opérationnelles persistantes :

• Précision sur les décisions automatisées : Le texte clarifie le recours à l'exception contractuelle prévue à l'Article 22. Cette précision est capitale pour mettre fin aux interprétations divergentes des autorités nationales qui entravent actuellement l'automatisation des processus.
• Définition de la donnée personnelle : Le passage d'une interprétation « absolue » à une approche basée sur les « moyens raisonnablement probables » d'identification renforce la sécurité juridique. Cela encourage l'usage de la pseudonymisation et des techniques d'amélioration de la confidentialité sans abaisser le niveau de protection.
• Notification des violations de données : L'extension du délai à 96 heures et la limitation du reporting aux incidents à haut risque visent à améliorer la qualité intrinsèque des notifications. Cette mesure permet de réduire les rapports superflus et d'autoriser les autorités de contrôle à concentrer leurs ressources sur les incidents réellement critiques.
• Accès aux données des terminaux : L'introduction d'une base légale pour les services demandés par l'utilisateur (ex: télématique auto) constitue une mise à jour nécessaire du cadre e‑Privacy. Elle résout l'impasse du consentement « librement donné », souvent contesté lorsque le traitement est une condition sine qua non de l'exécution du contrat.

3. Cadre pour l'IA et traitement des données sensibles

L'introduction des articles 88c et 9(2)(k) apporte une clarté bienvenue sur l'usage de l'intérêt légitime pour l'entraînement des modèles d'IA. Pour le secteur, l'enjeu est opérationnel : l'utilisation performante de l'IA permet d'accélérer le traitement des sinistres et de libérer les experts humains pour qu'ils se concentrent sur les dossiers à forte complexité. Toutefois, deux ajustements sont jugés impératifs pour garantir la faisabilité des systèmes :

Le secteur préconise la suppression du terme « inconditionnel » associé au droit d'opposition dans l'Article 88c(2), car une telle exigence est techniquement irréalisable une fois qu'un modèle a été entraîné. De même, concernant le traitement des données sensibles lors de l'entraînement et de l'exploitation (Art. 9(5)), l'obligation d'évitement inconditionnel devrait être remplacée par l'obligation d'éviter ces données « dans la mesure du raisonnablement possible », afin de maintenir un cadre proportionné et opérationnellement viable.

4. Gestion des risques liés aux demandes d'accès abusives

On observe une recrudescence de demandes d'accès détournées de leur finalité initiale (protection de la vie privée) au profit de stratégies de litige ou de tentatives de contournement des outils de détection de la fraude.

Actuellement, le fait que les personnes concernées ne soient pas tenues de justifier leurs demandes rend la preuve d'une « intention abusive » quasi impossible à rapporter pour le responsable de traitement, sur qui repose pourtant la charge de la preuve. En s'appuyant sur le considérant 63 du RGPD, le secteur recommande la création d'une exemption spécifique : la divulgation ne devrait pas être exigée lorsqu'elle porterait un préjudice sérieux aux enquêtes pour fraude, aux procédures judiciaires en cours ou à la défense de droits en justice.

5. Lacunes persistantes : Le cas spécifique de la (ré)assurance

Malgré ces avancées, le traitement des catégories spéciales de données (santé) souffre d'un manque de base légale harmonisée au niveau européen, ce qui constitue un frein majeur à la coopération transfrontalière, particulièrement pour les réassureurs.

• Problématique du consentement : L'obligation de recueillir un consentement explicite est souvent inadaptée, car le traitement des données de santé est indispensable à la conclusion, à l'exécution et à la gestion des contrats. Ce caractère essentiel rend le consentement structurellement non « libre ».
• Complexité opérationnelle : L'obtention du consentement est particulièrement lourde pour certaines populations comme les bénéficiaires ou les tiers victimes (injured parties), avec lesquels l'assureur n'a pas de relation directe.
• Harmonisation juridique : Pour pallier les divergences nationales, il est nécessaire de confirmer qu'une base légale appropriée existe au niveau de l'UE pour la conclusion et l'exécution des contrats de (ré)assurance. Le secteur appelle à clarifier que ces traitements peuvent être couverts par les dérogations de l'Article 9 du RGPD, notamment l'Article 9(2)(f) relatif à la constatation, l'exercice ou la défense de droits en justice.